위협 인텔리전스 활용을 통한

위협 선제적 방어 방어 사례

2020. 2. 5(수)

㈜두산 디지털이노베이션BU 정보보안 Chapter

김민교 대리

(minkyo2.kim@doosan.com / kim@minkyo.net)

목차

1. 발표자 소개

2. 고민의 시작

3. 위협 인텔리전스 개념

4. Idea of 선제 방어 전략

5. 구축/적용 진행 과정

6. 위협 인텔리전스 적용 사례

7. 위협 인텔리전스 적용 성과

8. 위협 성공적인 방어를 위한 제언/맺음말

1. 발표자 소개

김민교 (Minkyo Kim)

0x01. Career

+ ㈜두산 디지털이노베이션BU 정보보안 Chapter 근무

+ 제 2기, 3기 사이버보안전문단(KISA)

+ 고려대학교 정보보호대학원 석사 수료

0x02. Interest

+ Security : Digital Forensics, Big Data, Compliance

+ Etc : Car Sports

2. 고민의 시작

2. 고민의 시작

패턴 기반 보안장비의 한계

IPS/IDS, Vaccine, APT Solution, Etc…

“Very Expensive Security Solution”

백신 패턴 업데이트 수

<약 200개 업데이트/일>

신/변종악성코드 생성수

<최대 50만개 생성/일>

2. 고민의 시작

선제적인 방어

Eureka!

위협 인텔리전스

(Threat Intellignece)

3. 위협 인텔리전스 개념

위협 인텔리전스(TI, Threat Intelligence)

‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행가능한 조언을

컨텍스트나 메커니즘, 지표 등으로 제시하는 정보’ – Gartner

‘사이버 위협 정보(악성코드 정보, 명령제어 서버 정보, 취약점 및 침해사고 분석 정보 등)을 체계적으로 수집하고,

종합적으로 연관 분석하여 관계기관 간 자동화한 정보공유를 목적으로 하는 예방 대응 시스템’ - KISA

위협 인텔리전스 체계 Concept

보안 시장이 Defensive security → Offensive Security로의 추세 전환에 따라 나온 개념

위협 인텔리전스A 기업 B 기업

① A기업 공격시도

② 공격 탐지 분석

③ 공유 ④ 수집

⑤ 선제적 차단

⑥ B기업 공격시도

⑦ 공격실패

4. Idea of 선제 방어 전략

Unknown

악성 Domain

4. Idea of 선제 방어 전략

보안솔루션

사후 차단

AS-IS

알려진 위협(Known Threat)

내부 통합보안관제

알려지지 않은 위협(Unknown Threat)

위협 인텔리전스

예방 차단(선제적 차단)

TO-BE

5. 구축/적용 진행 과정

검토/선정(2018)

구축 계획 수립(2018)

단계별 개발(~2019.09)

Bug-Fix/운영안정화(~2019.12)

Global 6개 TI 대상 도입 검토/구축 계획 수립

5. 구축/적용 진행 과정

검토/선정(2018)

구축 계획 수립(2018)

단계별 개발(~2019.09)

Bug-Fix/운영안정화(~2019.12)

“SOA(Security Orchestration and Automation)”관점에서의 단계별 개발 수행

1. 위협정보 집중화외부 위협인텔리전스/내부 통합보안관제로부터수집된 모든 위협 정보를 내부 위협인텔리전스로 집중화

2. 보안장비간 연동 자동화수집된 위협정보를 내부 보안장비에 API를 통해 자동화 입력

개발 담당

김소천 (Socheon Kim)

Interest

보안,물류시스템,자동화,최적

화,인공지능,머신러닝,딥러닝

5. 구축/적용 진행 과정

검토/선정(2018)

구축 계획 수립(2018)

단계별 개발(~2019.09)

Bug-Fix/운영안정화(~2019.12)

다량의 위협정보 차단/연동 자동화에 따른각종 오류 Bug-Fix 및 고도화 수행

개발 담당

김소천 (Socheon Kim)

Interest

보안,물류시스템,자동화,최적

화,인공지능,머신러닝,딥러닝

1. 부가 기능 고도화

2. 보안장비에 다량 위협정보 연동에 따른 부하 이슈 해결 고도화

3. 예상치 못한 기타 발견된 이슈 Bug Fix 등

6. 위협 인텔리전스 적용 사례

13

외부위협 인텔리전스

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제

악성코드 취약점악성 도메인/IP

내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

6. 위협 인텔리전스 적용 사례

14

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

15

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

16

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

17

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

18

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

19

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

20

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

6. 위협 인텔리전스 적용 사례

21

국정원,국내/외 유명인텔리전스들,

국내 가입 기관(기업)

위협 빅데이터정보 수집

국내/외 타 기관 및 기업의 위협 정보 활용으로 침해에 대한 사전 방어 혹은 빠른 인지

내부 통합보안관제내부 위협 인텔리전스

알려진위협정보

알려지지 않은위협정보

정보 수집 정보 수집

VaccineWeb-FilteringFirewall/IPS SIEM

자동화 연동(API)

악성파일 Hash실행차단

악성 Domain/URLBlacklist 차단

악성 IPBlacklist 차단

Network Forensic

악성코드 취약점악성 도메인/IP

외부위협 인텔리전스

7. 위협 인텔리전스 적용 성과 (종합)

22

위협 인텔리전스 체계 적용/보안장비간 자동화 연동으로 인한 성과

① Unknown 위협 방어 : 60만건/월

② Virus 유입 건 감소 : 15% 감소

③ 위협 대응 속도 향상 : 48배 향상

7. 위협 성공적인 방어를 위한 제언/맺음말

23

End

24

End Of Presentation

Questions

minkyo2.kim@doosan.com

kim@minkyo.net